タグ: DNS

海外からのコメント/トラックバックspam対策としてコメントだけはDNS逆引きなしのホストを拒否（というか登録したように見えても実際には反映しない）していたのですが、最近は一度に数百のトラックバックスパムを送ってくるSEO/SEM業者がいます。

コメントスパムに比べるとトラックバックURLを知った上でスパムを送信する必要があるのでコメントスパムに比べてトラックバックスパムの方が若干手間がかかるのですが、スパム業者もそれくらいの手間は惜しまなくなったようです。

DNS逆引きなしのホストからはトラックバックは受け付けないようにソースを修正しました。普通のまっとうなISPの場合、必ず逆引きは設定されているので普通のユーザは困ることはありません。（少なくとも日本は）逆引きくらいは簡単に設定できるのであまり意味が無いように思えますが、実際にSpamを送信してくるホストに逆引きが設定されていないケースが多いので多少は役に立つはずです。

# 三浦さんのspamパッチを試さないと…

ところでspamメールでは結構おなじみのドメイン名を使ったSpam効果測定を行っていると思われるspamが連続して送信されていました。例えば以下のドメインです。

4109.mejsef.info

(サーバはオーストリア、ドメイン所有者はポーランド、ネットワークアドレスが26ビットなので大口の一般ユーザ(?)のように思えますが逆引きはISPが設定した(?)ままの状態のようです）

4109がなんらかのIDと思われます。サイト識別IDにしては4109は短すぎるのでキャンペーン番号のようなID番号なのでしょう。いちいちDNSに登録するのが面倒では?と思われるかも知れませんが、ずっと前のspamメールのエントリにも書いたようにドメインをIDとして利用するのは、ワイルドカードをサポートしたDNSなら非常に簡単です。ほとんど手間もかかりません。DJBDNS、Apache 仮想ホスト、サーバサイドスクリプト少々、なんらかのデータベースシステム等があれば簡単に汎用的な仕組みが出来てしまいます。

前からちょくちょく見かけていたのですが最近はDNSサーバを使用しユーザトラキングを行っているSPAMメールがどんどん増えているように思えます。

SPAMMERとしてもどのどのメールアドレスからは反応（クリック）があったのか知りたいので最も安直な手口として

http://example.com/?u=user@example.com

の様なメールがありました。さすがにこれではトラッキングしていることがばればれなので

http://example.com/?id=1234

とか

http://example.com/?prod_id=1234

等とトラッキングしている事を判りづらくする試みは行われていました。ちょっとコンピュータ（Web）を知っている方ならトラキングを行っている（行える）事は明らかなので、最近はドメイン名も使うSPAMMERも増えてきたようです。

http://tracking_id.example.com/
tracking_idはユーザを特定できるIDとなる任意文字列

の様な形式URLが使われています。こんな事をしても全部のサーバ名を作るのが大変では?と思うかも知れませんがDNSサーバによってはワイルドカードが使用できます。

*.example.com 10.10.10.10

の様な定義ができるのです。ユーザがアクセスしてきたらアクセスしてきたHOST情報からユーザを特定し記録した後、別のサイトにリダイレクトする、等の方法を使っているはずです。
# リダイレクトはしてもしなくてもどちらでも良いです。念のため。

DJBDNSユーザなら誰でも思いつく方法と思いますが、広まるまでに時間が必要でしたね :p